一个危险的XSS案例——轻松拿到登录用户的cookie
casperchen from IMWeb Team.
站酷是我很喜欢的设计类站点,上面有我大二美好的回忆,卖个广告,我的个人主页是:http://www.zcool.com.cn/u/346408
很好,其实上面不是重点。这段时间周围出现了好几单安全相关的问题,基本都是XSS漏洞导致的。于是内心一直惦记着,包括上个周末在逛站酷的时候,然后突发奇想:站酷上是否也存在XSS漏洞呢?
...
查看全文 >>
ASP.NET Core Web Api之JWT VS Session VS Cookie(二)
ASP.NET Core Web Api之JWT VS Session VS Cookie(二)前言本文我们来探讨下JWT VS Session的问题,这个问题本没有过多的去思考,看到评论讨论太激烈,就花了一点时间去研究和总结,顺便说一句,这就是写博客的好处,一篇博客写出有的可能是经验积累,有的可能是学习分享,但都逃不过看到文章的你有更多或更好的想法,往返交流自身能收获更多,何乐而不为呢?希望本...
查看全文 >>
Asp.net跨站脚本攻击XSS实例分享
Asp.net跨站脚本攻击XSS实例分享
常用攻击代码:
http://target/vuln-search.aspx?term=
</XSS/*-*/STYLE=xss:e/**/xpression(alert('XSS'))>
Redirection Attack
http://target/vuln-search.aspx?term=
</XSS/*-*...
查看全文 >>
架构之路(八)从CurrentUser说起
CurrentUser,也就是当前用户,这是我们系统中大量使用的一个概念。
确认当前用户
当然,我们利用的是cookie:用户的ID存放在cookie中,服务器端通过cookie中的Id,查找数据库,得到需要的用户信息。
那么,这里就有一个安全问题,如何防止cookie的伪造或篡改?我们采用了以下方法:
首先,cookie中除了存放用户Id,还存放了一个加密过后的验证码,其来源如下:...
查看全文 >>
CORS——跨域请求那些事儿
【本期嘉宾介绍】睿得,具有多年研发、运维、安全等IT相关从业经历。目前从事CDN、存储、视频直播点播的技术支持。喜爱钻研,喜爱编码,喜爱分享。
在日常的项目开发时会不可避免的需要进行跨域操作,而在实际进行跨域请求时,经常会遇到类似 No 'Access-Control-Allow-Origin' header is present on the requested resource.这样的报...
查看全文 >>
CORS——跨域请求那些事儿
【本期嘉宾介绍】睿得,具有多年研发、运维、安全等IT相关从业经历。目前从事CDN、存储、视频直播点播的技术支持。喜爱钻研,喜爱编码,喜爱分享。
在日常的项目开发时会不可避免的需要进行跨域操作,而在实际进行跨域请求时,经常会遇到类似 No 'Access-Control-Allow-Origin' header is present on the requested resource....
查看全文 >>
安全态势,交互发现 —— 基于阿里云轻松搭建安全大屏
2017年,阿里云启动MVP(Most Valuable Professional)项目。顾名思义,MVP正在寻找阿里云最有价值专家,那些能够,并且愿意帮助他人,充分了解和使用阿里云技术的意见领袖。
本文是阿里云MVP 傅奎的实践分享,今天和大家讲讲 “安全态势,交互发现 —— 基于阿里云轻松搭建安全大屏 ”
一句话概述
背景介绍
产品介绍
需求分析
实现方法
导出态势感知 DNS 日志
...
查看全文 >>
态势感知 + DataV:安全可视化交互,这么玩儿
在安全领域,“看见”的能力很大程度上影响着风险防御的有效性。将未知的风险以可视化的方式展示,让企业安全团队有“踏实感”和“存在感”。
在安全可视化上,阿里云首批MVP,千寻位置安全负责人傅奎想出了“跨界玩法”,用阿里云的两大产品:态势感知和DataV,实现交互式安全威胁发现。
Let's Make It True.
文章介绍的,是如何使用DataV大屏展现态势感知 DNS 会话日志,从而实现交互...
查看全文 >>
阿里云WAF&DB体验交流
近期因公司在各云产品使用上的一些情况,与阿里云各专家们进行了交流,从中深入的了解了阿里云安全WAF与DB两款产品,以此分享出来给大家参考。
阿里云MVP 云集 基础服务技术负责人 张强
1、web应用攻击防护
主要作用:防护常见的攻击手段,如SQL注入攻击,XSS跨站攻击等、配置后实时生效;
实现原理:根据URL请求参数实时校验,若发现URL中带有SQL或者JS等脚本语句,直接在网络...
查看全文 >>
C#进阶系列——WebApi 跨域问题解决方案:CORS
原文:C#进阶系列——WebApi 跨域问题解决方案:CORS
前言:上篇总结了下WebApi的接口测试工具的使用,这篇接着来看看WebAPI的另一个常见问题:跨域问题。本篇主要从实例的角度分享下CORS解决跨域问题一些细节。
WebApi系列文章
C#进阶系列——WebApi接口测试工具:WebApiTestClient
C#进阶系列——WebApi 跨域问题解决方案:CORS
C#进阶系列...
查看全文 >>